Kali linux

Часть 1 http://pikabu.ru/story/testirovaniya_na_proniknovenie_chast_...

ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ В WORDPRESS ПЛАГИНЕ

Теперь можно изучить сайт и потенциальные уязвимости внимательнее. Можно это делать и напрямую, но мне удобнее для этого использовать Burp Repeater. Для начала нужно настроить подключение через upstream proxy:

На вкладке User options добавляем Upstream Proxy Server, вводим полученные данные для нашего хоста, настраиваем браузер на Burp proxy, и пробуем различные эксплоиты найденные wpscan-ом.

Эта же возможность позволит использовать утилиты, которые не поддерживают авторизацию в прокси напрямую, если такие понадобятся — достаточно будет указать в виде proxy 127.0.0.1:8080.

Попробовав несколько вариантов, видим что срабатывает одна из SQL

инъекций:

GET http://cybear32c.lab/wp-content/plugins/wp-symposium/get_alb...; -- HTTP/1.1

Получаем номер версии MySQL:

Результат: 5.5.49-0+deb8u1.

Дело за малым — осталось эксплуатировать эту уязвимость с помощью

SQLmap:

Так как в данном случае инъекция происходит в имя колонки (а не в значение, как обычно), важно указать суффикс после payload (‘ -- ’) для того, чтобы SQLmap сконцентрировался именно на этом типе инъекции. Если этого не сделать, SQLmap может ошибочно определить

тип инъекции как blind, и в таком случае вытягивать данные будет очень затруднительно и долго.

И осталось только получить данные из таблицы wp_token с помощью

команды:

Во время сканирования портов обнаружился в том числе и https ресурс на порту 443. Беглый анализ и утилита dirb ничего интересного не дали:

Ресурс доступен по https, при этом видимо в разработке и давно не обновлялся. Проверим нашумевшую в 2014-м уязвимость heartbleed:

Сервис уязвим! Для эксплуатации воспользуемся скриптом отсюда:

https://gist.github.com/eelsivart/10174134. После прочтения множества (не)интересной информации и сотни попыток (главное не сдаваться раньше времени :), находим кое-что интересное:

Кто-то зашел туда и скачал старый бэкап — давайте и мы это сделаем:

Вот и токен, а вместе с ним несколько новых аккаунтов и хеши их паролей.

Пробуем восстановить пароли из хешей (Apache apr1 хеш в hashcat идет под номером 1600):

Получаем уже известный из mainsite пароль b.muncy, а также

остальные пароли других аккаунтов.

Очень полезно записывать все найденные учетные данные и пароли, для того чтобы в будущем иметь возможность проверять их быстро изучая новую цель, т.к. пароли пользователей в корпоративной сети с высокой вероятностью будут повторяться от одного сервиса к другому.

атакуем ssh

Несмотря на предыдущее замечание, к сожалению, ни один из найденных паролей пока что не подошел к почте, что обычно дает очень неплохие результаты в продвижении вглубь корпоративной сети. Не беда, попробуем подключиться к SSH на порту 22 и

попробовать там. Пробуем, и видим следующую картину:

Довольно необычная ситуация для подключения по SSH — видимо

используется собственный модуль для аутентификации. Кроме того, обращаем внимание что система запрашивает сначала “The password”, а потом еще и “Password”.

Пробуем все найденные учетные данные в разных комбинациях — безрезультатно.

Так как ни почта ни SSH не принесли желаемых результатов, а других доступных сервисов больше не остается, видимо мы что-то упустили. SSH важен еще и тем, что мы получим доступ внутрь корпоративной сети и сможем продвинуться дальше, поэтому нам интересно

сконцентрироваться на нем.

Пробуем еще раз, и видим автора скрипта: Pam (c) krakenwaffe — не

похоже на что-то стандартное.

Ищем это в Google, и вскоре находим аккаунт разработчика krakenwaffe

на Github, который к тому же работает в компании cybear32c — интересно!

Изучив contributions некого Девида, видим единственный файл: mypam.c, расположенный здесь, https://github.com/krakenwaffe/eyelog/blob/master/mypam.c. После беглого анализа кода становится понятно, что это именно тот модуль, в котором мы пытаемся авторизоваться, и который запрашивает у нас “The password”.

Внимание привлекает следующий участок:

Видим, что введенный пароль проходит сравнение с daypass<день><час>. Пробуем подставить текущее значение, а именно “daypass80” на момент написания этого документа:

Все равно не срабатывает… Тогда вспоминаем как зовут нашего

разработчика, который поделился с нами паролем через Github — David Nash. Пробуем зайти под d.nash:

Помимо токена в папке .ssh также находим и приватный ключ для

подключения к другим серверам (к каким — можно узнать поработав с файлом known_hosts) — наверняка пригодится в дальнейшем!

Теперь мы получаем плацдарм для следующих атак, и перед нами открывается вся корпоративная сеть компании CyBear32C.

После взятия SSH можно выходить на все остальные компьютеры в сети — с какого начать? В первую очередь, стоит просканировать все три подсети с помощью nmap, любезно предоставленного прямо на сервере SSH и изучить доступные сервисы.

На данном этапе практически все внутренние ресурсы, за исключением Windows-машин и сервера dev будут доступны для атаки — можно пробрасывать порты и пробовать.

Чтобы обеспечить удобный доступ к внутренней сети через вновь появившееся SSH подключение есть множество способов.

В первую очередь рекомендую статью «Pivoting или проброс портов» по

адресу https://habrahabr.ru/post/302168/

Кроме того, полезно знать интересную возможность стандартного SSH клиента — проброс портов без перезапуска сессии и добавления параметров в командную строку.

Для этого достаточно нажать комбинацию Shift+~+C и перейти в

командный режим работы:

После ввода нужной команды мы получим доступ к 80-му порту

сервера 192.168.0.6 (photo) через порт 8086 на 127.0.0.1:

Послесловие

Надеюсь этот небольшой документ дает достаточно информации

чтобы начать ваше собственное тестирование на проникновение, и проверить на что вы способны в почти настоящей и хорошо защищенной сети компании. В лаборатории 14 токенов, из которых мы пока взяли только три, так что все еще впереди.

Надеюсь вам понравится лаборатория. Она будет доступна до ноября, поэтому времени на обучение будет достаточно. Не сдавайтесь в процессе, и, как говорится, Try Harder.

Удачи!

Автор Алексей Столетний.

Источник: https://lab.pentestit.ru/docs/TL9_WU_ru.pdf

Отдельное спасибо за участие

#comment_67177253

#comment_67195788

P.S. БМ втирает какую-то дичь.

Нашел тут пост на Пикабу:

http://pikabu.ru/story/kak_uznat_parol_ot_wifi_ili_prostoy_w...

Оказался какой то муторный взлом еще и подбором.

Сегодня я вам расскажу про то как реально это можно сделать! Время взлома от 10 минут до 24 часов (из личного опыта).

Подготовка:

-Флэшка от 4gb

-Любой Пк или ноут кому как удобно.

Для начала нам нужно скачать дистрибутив Kali Linux (Недавно кстати вышло под новым ядром, в разы быстрее.)

https://www.kali.org/

Ставим iso файл вот этой программкой:

https://unetbootin.github.io/

(Возможно даже скачивать с офф сайта сам Kali не придется бывает что и с Unetbootin можно скачать.)

После того как всё сделаем. Перезагружаем ПК и загружаемся из под Флешки.

(В Bios поменять незабываем приоритет.)

После чего увидим меню выбора загрузки

Выбираем Live USB Persistence(Это вроде как с сохранением данных, позже объясню зачем.)

Далее он загружается и мы на основном экране.

Заходим в терминал.

Далее вводим команду:

wifite -wpa2

Он начинает сканировать сеть на наличие Wifi сетей. Самая первая это самая ближайшая по расстоянию сеть и самая последняя естественно самая дальняя.

Описываю сам принцип.

Эта программа не подбирает пароль. Есть такая вещь как WPS это внутренний пароль у каждого роутера. Он цифровой всегда, и этим программа и занимается она математичиским способом высчитывает WPS. После чего она с легкостью вам скажет обычный пароль.

В начале мы выбрали USB Presistance не спроста так как он запомнит все операции (т.е. флешка будет как маленький жесткий диск.) Зачем это понадобится? К примеру соседи решать сменить пароль! Для вас это будет не беда, так как у вас будет wps пароль. Вы просто так же всё запустите и он вам выдаст новый пароль в течении 1-ой минуты.

И так продолжим.

Выбираем нужную сеть. В двух столбцах для нашей сети должны присутствовать два слова

client или сlients а так же в другом столбце WPS(если написано "no" для нас это не подходит.)

Оба слова должны быть зеленные, но необязательно.(не знаю с чем связанно)

Когда слова появятся можно остановить сканирование клавишами [ctrl]+[c].

После чего будет то же меню но оно не будет меняться. И программа предложит вам выбрать сеть от 1 и до того сколько найдет. (Можно даже все ломать, но наверно не стоит.)

Выбираем ту сеть которая соответствует нашим требованиям.

Т.е. Она должна быть не особо далеко, присутствие WPS и Client.

И просто нажимаем соответствующую цифру с номером сети.

И всё пошёл взлом. Дальше он будет показывать в процентах сколько уже сделал!

Позже выдаст пароль после всего

P.S.

Я в школе не учился, Русский учил по брошюркам рекламным так что не надо прикапываться к моему кривому описанию.

Скриншоты не делал Так как пост писал на Стационарном Пк а взлом на ноутбуке, было просто неудобно.

P.S.S.

Для людей которые хотят сохранить свой wifi в безопасности в настройках роутера нужно отключить доступ через WPS пароль.

P.S.S.S.

Cкорей всего возможно присутствие ошибок в плане взлома. Так что добро пожаловать в комментарии. И я не кого КАТЕГОРИЧЕСКИ не принуждаю к такого рода делам.

Всем спасибо)